微软在发布的安全公告(ADV200001)中提到了一个影响IE浏览器的0day 远程代码执行漏洞——CVE-2020-0674，微软确定该 0day漏洞已有在野利用。根据微软发布的安全公告，CVE-2020-0674漏洞是一个远程代码执行漏洞，漏洞存在于IE浏览器中的脚本引擎在内存中处理对象的方式。该漏洞会破坏内存以至于攻击者可以在当前用户环境下执行任意代码。成功利用该漏洞的攻击者可以获取与当前用户相同的用户权限。如果当前用户是以管理员用户权限登陆的，那么攻击者也就获取了管理员用户权限，可以通过利用该漏洞完全控制受影响的系统。攻击者成功利用该漏洞

概述在本篇文章中，我们将重点介绍Mispadu，这是一个主要以拉丁美洲地区为目标的银行木马，伪装成麦当劳的广告从而将其攻击面扩展到Web浏览器。我们认为，该恶意软件家族针对的是普通用户，其主要目标是窃取金钱和用户凭据。在巴西地区，我们发现其背后的攻击者分发了一个恶意的Google Chrome扩展程序，该程序时图窃取信用卡数据和在线网银数据，并伪装成Boleto支付系统。恶意软件特征Mispadu是一个恶意软件家族，我们在针对拉丁美洲银行木马的研究过程中发现该恶意软件，该恶意软件家族主要针对巴西和墨西哥，使用Delphi语言编写，使用相

说明：  萌新一枚，最近一段时间在面试病毒相关岗位，有的公司会电话、远程面试询问相关知识，有的则会直接发送病毒样本要求分析，写出分析报告。下面要分析的就是面试过程中的某个样本，整理成文，发表出来，供大家参考学习，一起进步！如有不当之处，也希望大佬批评指正，晚辈一定虚心受教。由于考虑到时间问题，不能让面试官等太久，所以我只将病毒关键功能模块进行分析说明，没有之前文章那么详细，也请大家见谅，不懂之处欢迎提出，我也尽量解答，加油！注意：  此样本存在成人图片内容，未成年同学请勿下载

【快讯】近日，有企业用户向火绒安全团队求助，称电脑CPU、带宽无缘无故占用变高，电脑出现发热、变慢等现象。火绒工程师远程查看后，在用户电脑中发现一组暗刷木马造成上述现象。经溯源发现是来自一款名为“舟大师”的程序携带点击器木马，目前火绒已对该其进行拦截查杀。根据火绒工程师分析显示：1、该软件在未经过用户同意的情况下，进行默认安装；2、安装后默认执行开机自启，在没有任何提示的情况下，根据云控指令通过隐藏浏览器窗口暗刷特定搜索词；3、该软件没有卸载程序，普通用户无法卸载。上述行为均在用户完全不知的情况下完成

概述近日，研究人员发现Citrix Application Delivery Controller (ADC)和Citrix Gateway中存在一个目录遍历漏洞，远程攻击者利用该漏洞可以发送目录遍历请求，从系统配置文件中读取敏感信息而无需用户认证，并可以远程执行任意代码。该漏洞影响所有支持的产品版本和所有支持的平台：• Citrix ADC和Citrix Gateway version 13.0 all supported builds• Citrix ADC和NetScaler Gateway version 12.1 all supported builds• Citrix ADC和NetScaler Gateway version 12.0 all supported builds• Citrix ADC和NetScale

随着web安全从业人员的增多，很多人都有个疑问：怎么洞越来越难挖了!!?大网站是不是没有这些漏洞!!?原因是多样性的，一方面是漏洞隐藏的越来越深，另一方面是网站的架构正在发生改变；所以我们除了要提升自己的技术能力之外，我们也要顺应互联网的发展，针对不同的网站架构寻找不同着手点，也就是扩大信息收集的范围，这篇文章就是对微服务下信息收集的浅谈。在介绍正题之前，先聊聊网站应用的发展史。网站应用发展单一应用架构当网站流量很小时，只需一个应用，将所有功能都部署在一起，以减少部署节点和成本。此时，用于简化增删改查工作

0x00 漏洞原理分析ECC椭圆曲线加密（Elliptic curve cryptography）是一种建立公开密钥加密的算法，基于椭圆曲线数学，于1985年由Neal Koblitz和Victor Miller分别独立提出的。ECC的主要优势在于某些情况下比其他方法使用更小的密钥（如RSA加密算法）来提供相当或更高等级的安全。ECC椭圆曲线加密原理在于：设G为曲线上一点，d为一个整数令点Q = d.G，若给定d和G，很容易求出Q，若给定G和Q ，很难求出d。 其中Q为公钥，d为私钥。CVE-2020-0601漏洞原理在于 win10 增加了对带参数ECC密钥的支持，但在 crypt32.dll 中做签名验证时，只检查匹

网络钓鱼是影响世界各地民间组织的最常见和最主要的威胁之一，实际上，90％的数据泄露攻击都是从网络钓鱼攻击开始的，如今，移动互联网流量已占总互联网流量的60％以上，黑客将注意力转向高价值移动用户及其使用的网站也就不足为奇了，根据wandera的研究，网络钓鱼攻击中有超过48％发生在移动设备上，而手机用户遭受网络钓鱼攻击的风险是台式机用户的3倍。这些天黑客的电子邮件帐户并不容易，因为网络钓鱼只是一个用户名和密码。为了获得成功，攻击者还必须绕过另一安全功能层，即两因素身份验证（2FA）。在所有可能的电子邮件帐户上启用2

2020年开始时，Microsoft用户的补丁程序列表相对繁多。一月通常是修复的轻松月份，但是Microsoft在此周期中发布了针对49个漏洞的补丁程序（其中8个为严重漏洞，其余所有归为“重要”漏洞）。目前尚不知道所有这些漏洞都受到攻击。列出的漏洞涵盖了一系列Microsoft产品，包括Windows RDP Gateway服务器，Internet Explorer，ASP.NET，CryptoAPI，.NET Framework，Hyper-V，Office，Excel和OneDrive。这也是微软停止对Windows 7的扩展支持的月份，这意味着使用此操作系统的用户将不会再收到任何其他软件更新或安全公告。这将使Windows 7用户

2020年1月15日，我们监测到Microsoft 发布了2020年1月的安全更新，该更新修复了Windows CryptoAPI验证绕过漏洞（CVE-2020-0601）。NSA已将该漏洞报告给Microsoft。Windows CryptoAPI（Crypt32.dll）验证椭圆曲线加密算法证书并影响Windows 10和Windows Server 2016/2019以及依赖Windows CryptoAPI的应用程序的方式中存在此漏洞。攻击场景包括：1.使用伪造的证书对恶意可执行文件进行签名，使文件看起来像是来自受信任的来源。2.进行中间人攻击，并解密连接到受影响软件的用户机密信息。2020年1月安全更新修复的其他严重漏洞包括：CVE-2020

本周，俄罗斯军事黑客被怀疑对乌克兰天然气公司Burisma发动了网络攻击，这是美国总统特朗普弹each案的重要重点。俄罗斯政府可能会彻底摧毁这家石油巨头的网络系统，并获得他们想要的数据。实际上，石油公司Burisma已经成为克里姆林宫两次黑客袭击的中心。原因是，首先，该公司位于乌克兰，是俄罗斯进行各种网络攻击的最爱场所之一。而且，该公司目前是特朗普弹each案中政治辩论的核心，这可能会进一步影响特朗普总统2020年的竞选连任。所有这些使Burisma不可避免地成为黑客和泄漏操作的核心目标。这次袭击与2016年类似，当时俄罗斯被怀疑针

在Adobe今天发布 2020年第一个补丁星期二更新之后，微软现在还发布了其1月安全公告，警告数十亿用户其各种产品中存在49个新漏洞。最新的星期二补丁程序的特别之处在于，其中一项更新修复了国家安全局（NSA）发现并报告给公司的广泛使用的Windows 10，Server 2016和2019版本的核心加密组件中的严重缺陷。美国。更有意思的是，这是NSA负责任地向Microsoft报告的Windows OS中的第一个安全漏洞，与 Eternalblue SMB漏洞不同该机构保守秘密至少五年，然后被一个神秘团体泄露给公众，这在2017年引起了WannaCry的威胁。CVE-2020-0601：Windows Cr

英特尔在其名为Intel VTune Profiler的性能分析工具中警告存在严重漏洞。如果利用此漏洞，则攻击者可以对对手执行特权升级攻击，从而使他们可以提升权限并未经授权地访问目标系统。VTune Profiler（以前称为VTune Amplifier）是面向串行和多线程应用程序开发人员的软件性能分析应用程序。尽管该应用程序支持Windows，Linux和Android平台，但英特尔表示更新8之前的Windows英特尔VTune Profiler版本受到影响。英特尔安全更新称： “更新8之前的Windows英特尔VTune Amplifier驱动程序中对驱动程序的不当访问控制可能会使经过身份验证的用户潜

我们在Google Play商店中发现了三个恶意应用程序，它们可以协同工作以破坏受害者的设备并收集用户信息。其中一个名为Camero的应用利用了CVE-2019-2215这个漏洞，该漏洞存在于Binder（Android中主要的进程间通信系统）中。这是使用Free-After-Free漏洞在野外的第一个已知的主动攻击。有趣的是，在进一步调查中，我们还发现这三个应用程序可能是SideWinder威胁参与者小组的武器库的一部分。自2012年以来一直活跃的SideWinder小组是一个已知的威胁，据报道已瞄准军事实体的Windows计算机。这三个恶意应用伪装成摄影和文件管理器工具。根据其中

Citrix漏洞CVE-2019-19781于2019年12月首次发现。容易受到攻击的产品包括Citrix Application Delivery Controller（NetScaler ADC）和Citrix Gateway（NetScaler Gateway）。尽管Citrix为缓解攻击采取了共同的缓解措施，但仍向公众发布了浓度证明代码，这有可能助长了针对CVE-2019-19781的一系列攻击。据Citrix称，该漏洞影响了以下方面：所有受支持的版本上的Citrix NetScaler ADC和NetScaler Gateway v。10.5；在所有受支持的内部版本上的Citrix ADC和NetScaler Gateway v 11.1、12.0、12.1；以及所有受支持的版本上的Citrix ADC和Citri

Citrix网关（NetScaler Gateway）和Citrix Application Delivery Controller（NetScaler ADC）中最近发现的漏洞可能使80,000家公司遭受黑客攻击。更新。根据最新信息，存在针对CVE-2019-19781漏洞的有效利用，这些漏洞使攻击者可以轻松地执行任意代码执行攻击，而无需帐户凭据。Citrix漏洞（CVE-2019-19781）对全球公司意味着什么一位研究人员最近发现了Citrix Application Delivery Controller（NetScaler ADC）和Citrix Gateway（NetScaler Gateway）的严重缺陷。这些漏洞使成千上万的企业面临被远程黑客入侵的风险。Citrix ADC网关漏洞

近日，深信服安全团队捕获到一款新型的Linux挖矿木马，该木马通过bash命令下载执行多个功能模块，通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散，且该木马的文件下载均利用暗网代理，感染后会清除主机上的其他挖矿木马，以达到资源独占的目的。感染现象被感染的Linux服务器上，可以明显看到一个CPU占用率很高的进程，名字为随机字符：查看进程对应的可执行文件，是以一串疑似MD5的字符命名（并非文件真实MD5），但已经被删除：通过crontab –l命令可以看到可疑的定时任务：定时任务对应的sh脚本内

思科本周在其Webex和IOS XE软件产品中修复了两个高度严重的漏洞。思科系统公司修复了其产品中的两个高严重性漏洞，其中包括其流行的Webex视频会议平台中的一个漏洞，该漏洞可能使远程攻击者能够执行命令。高度严重的Webex漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中，该功能可启用用于视频会议的本地基础结构来增强音频，视频和内容。根据本周发布的思科安全公告， “成功的利用可能使攻击者可以在目标节点上以root特权在底层Linux操作系统上执行任意命令。”该忠告指出，尽管攻击者可以远程利用这些缺陷，但仍需要对它们进行

TikTok是2019年下载量排名第三的应用程序，它受到用户隐私权的严格审查，审查具有政治争议的内容并出于国家安全的考虑，但尚未结束，因为数十亿TikTok用户的安全性现在受到质疑。著名的中国病毒视频共享应用程序包含潜在危险的漏洞，这些漏洞可能使远程攻击者仅通过了解目标受害者的移动数量即可劫持任何用户帐户。在与The Hacker News私下共享的一份报告中，Check Point的网络安全研究人员透露，将多个漏洞链接在一起可以使他们远程执行恶意代码，并未经受害者的同意代表受害者执行有害的操作。报告的漏洞包括严重性较低的问题，例如SMS链

2011年的福岛第一核电站事故导致安全变化，可能对反应堆安全产生有趣的连锁反应。由于随后断电，洪水期间的遥测损失使对事故的评估变得难以管理。无法获得有关反应堆和相关基础设施状态的关键数据，因此，围堵和补救措施没有达到应有的效果。结果，包括USNRC在内的几个监管机构就“开发简单的自供电遥测设备以允许远程监视关键参数”提出了建议,如果发生事故时，其他用于遥测数据的通信传输被中断，这导致数家工厂运营商将卫星连接性作为备份进行调查。我们认为，这是一个合理的结论。只要卫星终端仍由电池供电并可以运行，就不依赖工厂周